Application-Based IDS является специальным подмножеством host-based IDS, которые анализируют события, поступившие в ПО приложения. Наиболее общими источниками информации, используемыми application-based IDS, являются лог-файлы транзакций приложения.
Способность взаимодействовать непосредственно с приложением, с конкретным доменом или использовать знания, специфичные для приложения, позволяет application-based IDS определять подозрительное поведение авторизованных пользователей, которое превышает их права доступа. Такие проблемы могут проявиться только при взаимодействии пользователя с приложением.
Преимущества application-based IDS:
- Application-based IDS могут анализировать взаимодействие между пользователем и приложением, что часто позволяет отследить неавторизованную деятельность конкретного пользователя.
- Application-based IDS зачастую могут работать в зашифрованных окружениях, так как они взаимодействуют с приложением в конечной точке транзакции, где информация представлена уже в незашифрованном виде.
Недостатки application-based IDS:
- Application-based IDS могут быть более уязвимы, чем host-based IDS, для атак на логи приложения, которые могут быть не так хорошо защищены, как результаты аудита ОС, используемые host-based IDS.
- Application-based IDS часто просматривают события на пользовательском уровне абстракции, на котором обычно невозможно определить Троянские программы или другие подобные атаки, связанные с нарушением целостности ПО. Следовательно, целесообразно использовать application-based IDS в комбинации с host-based и/или network-based IDS.
